Windows Event ID 4624 Analizi: Başarılı Oturum Açma İzleri
Adli Analiz: Event ID 4624 Nedir?
*Siber güvenlik raporlarına göre, SIEM kullanılan altyapılarda tehdit tespit süresi (MTTD) %80 oranında kısalmaktadır.*
Windows Event ID 4624, bir kullanıcının sisteme başarıyla giriş yaptığını (Success Logon) belirtir. Ancak sadece "girdi" bilgisi yeterli değildir. Bir saldırganın sistemde olup olmadığını anlamak için bu logun içindeki 'Logon Type' bilgisini okumanız gerekir.
Logon Type (Oturum Tipi) Sözlüğü
- Logon Type 2 (Interactive): Kullanıcı bilgisayarın başındadır, fiziksel olarak klavyeden giriş yapmıştır.
- Logon Type 3 (Network): Bir paylaşıma (Shared Folder) erişim veya ağ üzerinden bir servis bağlantısı.
- Logon Type 10 (RemoteInteractive): En sevilen hacker girişidir. Uzak Masaüstü (RDP) ile yapılan bağlantıyı simgeler.
- Logon Type 4 (Batch): Planlanmış görevler (Scheduled Tasks) tarafından kullanılır.
Tehlike Sinyali:
Normalde sadece ofis saatlerinde çalışan bir personelin gece yarısı "Logon Type 10" (RDP) kaydı oluşturması, hesabın ele geçirildiğinin %99 kanıtıdır. ACKLOG UEBA modülü bu mesai dışı sapmaları anında yakalar.
Problem Çözme: Neden Çok Fazla 4624 Logu Var?
Sunucularda saniyede yüzlerce 4624 görebilirsiniz. Çoğu sistem servislerinin (SYSTEM, NETWORK SERVICE) kendi iç haberleşmesidir. SIEM üzerinde 'Noise Reduction' yaparak sadece gerçek kullanıcı loginlerini filtrelemek performansınız için kritiktir.
ACKLOG Insight: ACKLOG, bu devasa log yığınını otomotik süzerek size sadece 'Gerçek Kişi' oturumlarını ve şüpheli kaynak IP'leri dashboardda gösterir. Manuel 4624 takibi imkansızdır, ACKLOG ile odaklanın.
Sıkça Sorulan Sorular
Soru: Kurulum süreci ne kadar zaman alır?
Cevap: Geleneksel sistemlerin aksine yeni nesil mimarilerde temel kurulum ve ilk log akışı aynı gün içinde tamamlanmaktadır.
Soru: Her kaynaktan log alabiliyor musunuz?
Cevap: Evet, Firewall, Switch, Windows/Linux sunucular ve özel yazılımlardan Syslog, WMI veya Agent ile log toplanabilmektedir.
Fatih EmiralCISA | CISSP | CEH
IT Müdürü & Siber Güvenlik Uzmanı
Fatih Emiral, siber güvenlik, BT yönetimi ve regülasyon uyumluluğu alanlarında 15 yılı aşkın tecrübeye sahiptir. BTPROSES bünyesinde kıdemli danışman olarak görev yapmaktadır.
LinkedIn Profilini İnceleTeknik Referanslar ve Kaynakça
- Kamu Kurumları Bilgi ve İletişim Güvenliği Kılavuzu - Log Yönetimi Kriterleri (T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi)
- 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
- Kişisel Verilerin Korunması Kanunu (KVKK) Veri Güvenliği Rehberi (Teknik Tedbirler)
- MITRE ATT&CK Matrix for Enterprise (Siber Tehdit Taktik ve Teknikleri Karşılaştırma Matrisi)
- ClickHouse Columnar Storage Compression Benchmarks (Columnar Veritabanı ve LZ4/ZSTD Sıkıştırma Standartları)
Güvenliğinizi Şansa Bırakmayın
KVKK uyumlu loglama çözümlerimizle tanışın.
İlgili Makaleler
Bu konuyla ilişkili diğer içerikleri keşfedin